20-12-04 : Les initiateurs du projet de décision-cadre (France, Irlande, Suède, Royaume Uni) publient
une
note explicative du projet.
La note semble dater du 28 avril 2004, date de la proposition du projet.
07-12-04 : La Commission LIBE (Droits et libertés) du Parlement européen a nommé son rapporteur
pour le projet de décision-cadre. Il s'agit de Alexander Alvaro, député libéral allemand membre du groupe ADLE
(Alliance des démocrates et libéraux).
23-11-04 : Résultats
de la première réunion du comité CATS du projet de décision-cadre, rendus
publics le 21 décembre 2004. Le Comité CATS a discuté les points qui lui avaient été soumis, et propose deux
options, à discuter plus amplement du point de vue de leur faisabilité technique. l'Option 1 est de limiter la
rétention aux données normalement conservées par les opérateurs aux fins d'assurer le service technique et de
facturation, ainsi que tout autre objectif légitime (il s'agit sans doute par exemple de la maintenance et la
sécurité de leurs réseaux). L'option 2 consiste à conserver toutes les données dont la liste serait établie
par la décision-cadre, pour autant que ces données soient générées et/ou traitées par les opérateurs dans le cadre
normal de leur service (pas de catégorie de données supplémentaires). La présidence du Conseil recommande de
poursuivre les discussions sur la base de l'option 2.
18-11-04 : Les quatre États à l'origine du projet de décision-cadre adressent une réponse
non publique à une question posée par la députée européenne Edith Mastenbroek (PSE-NL) au Conseil au sujet
du projet.
17-11-04 : Nouvelle version, non publique, du projet de décision-cadre.
09-11-04 : Le groupe Article 29 des autorités européennes de protection de données adopte un avis sur le projet de
décision-cadre. Le groupe conteste l'objectif du projet, et sa conformité aux buts légitimes exprimés par la
Convention européenne sur les droits de l'homme. Le groupe conteste également le fait que les écoutes téléphoniques
et électroniques, prévues de manière systématique et obligatoire dans le projet de décision-cadre, soit une mesure
nécessaire dans une société démocratique. Le groupe rejette donc la conformité du projet à deux des trois critères
fondamentaux nécessités par l'article 8 de la CEDH, comme par la jurisprudence européenne en matière de protection
de la vie privée. Le groupe de travail de l'Article 29 conclut cet avis très critique par une position
sans équivoque : « la
conservation obligatoire de tous types de données
sur toute utilisation des services de télécommunications à des fins d'ordre public, dans
les conditions prévues par le projet de décision cadre, n'est pas acceptable dans le cadre
juridique établi à l'article 8 ».
08-11-04 : La présidence consulte le Comité de l'Article 36 (CATS)
sur l'opportunité : de conserver des données
actuellement non conservées (données autres que de facturation) ; de fixer une période minimale pour les
données Internet (courrier électronique en particulier) ; de traiter du problème du coût de cette rétention.
Elle consulte également sur la nécessité, pour le groupe de travail en matière de coopération pénale, de se
préoccuper de l'impact de la rétention de certaines données sur les fondements légaux de la décision-cadre.
08-11-04 : Nouvelle
version du projet de décision-cadre. On revient à une période de 12 mois de rétention en régime général,
avec possibilité pour les États membres d'adopter une période plus longue. Pour les données d'identification des
abonnés, la période de 12 mois court à partir de la résiliation de l'abonnement. NB. Les États ne semblent pas
d'accord du tout sur la période de rétention à fixer, certains la préférant plus longue, d'autre plus courte
(mention non publique de ces États).
28-10-04 : Les quatre États à l'origine du projet de décision-cadre adressent une réponse
non publique à une question posée par la députée européenne Edith Mastenbroek (PSE-NL) au Conseil au sujet
du projet.
19-10-04 : Nouvelle
version du projet de décision-cadre. On revient à une période comprise entre 12 et 36 mois de rétention,
toujours sans préjudice des législations nationales fixant une durée plus longue et avec possibilité de dérogation
pour une rétention de durée inférieure à 12 mois pour certaines données.
14-10-04 : la présidence de l'UE (Pays-Bas jusqu'au 31-12-04) publie une nouvelle mouture du
projet de décision-cadre sur la rétention de données de trafic. Cette nouvelle version fixe à 12 mois la durée de
rétention des données, sans préjudice des législations nationales (qui pourraient donc fixer une période plus
longue de rétention). Toutefois, un alinéa supplémentaire de l'article 4 prévoit que les États membres peuvent
y déroger pour fixer une période de rétention inférieure à 12 mois, pour certaines données.
22-09-04 : la représentante du ministère de l'Intérieur indique, au cours d'une réunion de la CE sur
le projet de décision-cadre sur la rétention de données de trafic, que « le décret sera publié dans
les prochains jours ». Elle
précise que ce décret impliquera une période de rétention de 12 mois (le maximum prévu par l'article 29
de la LSQ), mais n'indique rien sur la teneur des données à conserver. Ce projet de décision-cadre est largement contesté par les ONG.
10-09-04 : Une réponse commune
à la consultation de la Commission européenne, élaborée par
les organisations Privacy International et European Digital Rights et signée par 90 ONG et autant de
société commerciales, déclare la rétention de données « intrusive, illusoire, illégale et illégitime.
Voir le communiqué d'IRIS, signataire
de la réponse.
07-09-04 : Dominique de Villepin, ministre de l'Intérieur, annonce
des mesures pour la lutte contre la cybercriminalité. Il confie la responsabilité de ce « chantier » à un
industriel, le PDG de France Télécom, Thierry Breton.
09-07-04 : l'article L32-3-1, introduit par l'article 29 de la LSQ dans le code des postes
et télécommunications, devient l'article L34-1 du même code, renommé code des postes et communications
électroniques, par la loi sur les communications électroniques (loi n°2004-669). Le
décret n'est toujours pas publié
01-07-04 : avec une cinquième ratification (par la Lituanie le 18 mars 2004), la Convention du
Conseil de l'Europe sur la cybercriminalité entre en vigueur.
28-04-04 : la France, avec trois autres pays de l'UE, propose un projet de décision-cadre sur la
rétention de données de trafic, qui prévoit une rétention des données de trafic systématique et obligatoire
pendant une période comprise entre 12 et 36 mois après leur création.
11-06-03 : le
projet de loi
autorisant l'approbation de la convention sur la cybercriminalité
(nécessaire pour entraîner la ratification par la France) est transmis à l'Assemblée nationale. Renvoyé à la
Commission des Affaires étrangères, il n'a pas encore été examiné (voir le
dossier sur le site de l'AN).
11-06-03 : Dominique de Villepin, ministre des Affaires étrangères, présente
en Conseil des ministres un projet de loi autorisant l'approbation de la convention sur la cybercriminalité.
18-03-03 : la loi pour la sécurité intérieure (LPSI
ou « loi Sarkozy », loi n°2003-239) pérennise entre autres l'article 29 de la LSQ (article 31 de la
LPSI). Le décret n'est toujours pas publié. Par ailleurs, la LPSI met en oeuvre une partie de l'article 19 de la
Convention du Conseil de l'Europe sur la cybercriminalité (articles 17 et 18 de la LPSI).
(Retour à la chronologie)
20-11-02 : réponses des pays de l'UE à un questionnaire du Conseil de l'Union européenne sur la
rétention des données de trafic : réponses en Français de la
France et de la
Belgique,
autres réponses en Anglais.
27-09-02 : IRIS publie un rapport en contribution
à la consultation publique du gouvernement relative à l'évolution du droit français des communications
électroniques. Le rapport, intitulé « Service public d'accès et Protection des données personnelles.
Deux conditions pour un Internet démocratique », fait en particulier le point sur les mesures relatives à
la rétention des données.
29-07-02 : la CE informe officiellement IRIS que sa plainte est mise en
attente jusqu'à parution du décret
16-07-02 : IRIS adresse un deuxième complément d'information à la CE au sujet de la
LOPSI (loi d'orientation et de programmation
pour la sécurité intérieure).
12-07-02 : la Directive européenne sur la protection des données personnelles dans les communications
électroniques est adoptée (Directive
2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002, concernant le
traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications
électroniques)
27-06-02 : IRIS adresse un complément d'information à la CE au sujet des décrets
27-06-02 : une première réponse de la CE semble indiquer la mise en attente de la plainte
17-06-02 : IRIS s'enquiert du statut de la plainte, et des conséquences de la révision
de la Directive européenne sur la protection des données personnelles dans les communications électroniques
23-01-02 : IRIS rend public le dépôt de la plainte
15-01-02 : la CE accuse réception de la plainte, la jugeant recevable
(Retour à la chronologie)
21-12-01 : IRIS dépose plainte contre la France auprès de la CE (violation de la législation communautaire
par l'article 29 de la LSQ). La législation européenne en vigueur inclut en particulier la Directive 97/66/CE
du 15 décembre 1997, concernant le traitement des données à caractère personnel et la protection de la vie privée
dans le secteur des télécommunications. Cette Directive impose d'effacer ou de rendre anonyme toute donnée relative
à une télécommunication dès que celle-ci est achevée, sauf pour des besoins de facturation.
13-12-01 : IRIS publie une analyse
sur la situation européenne : « Démocratie et libertés sur Internet : le piège en trois volets ».
23-11-01 : le Conseil de l'Europe ouvre à la signature sa Convention sur la
cybercriminalité. 30 pays, dont la France, sont signataires. Ce traité prévoit une durée maximale de 3 mois pour la préservation de données (article 16).
La préservation de données concerne une enquête spécifique (donc relative à une personne ou un groupe de personnes
identifiées), contrairement à la rétention de données qui concerne systématiquement toutes les données (donc
relatives à toute communication électronique). Le paragraphe 135 du rapport explicatif de
la Convention sur la
cybercriminalité mentionne explicitement que la rétention systématique de données n'a pas été retenue, par défaut
de consensus sur cette question. Depuis sa déclassification en avril 2000 (voir le dossier complet), la Convention a été
très
critiquée par les ONG (voir aussi le site en Anglais Treaty
Watch mis
en place par l'ACLU, et le résumé du Conseil de l'Europe sur ces résistances : « État de droit entre Big Brother
et Far West »).
15-11-01 : la loi sur la sécurité quotidienne (LSQ, loi n°2001-1062) est promulguée. Son article 29
prévoit une rétention des données de trafic d'une durée pouvant aller jusqu'à 12 mois. Un décret pris en Conseil
d'État après avis de la CNIL doit préciser la
durée effective de la rétention et la teneur des données conservées. L'article 29, comme d'autres articles de la
LSQ, n'est adopté que jusqu'au 31-12-03 (article 22 de la LSQ).
12-11-01 : IRIS publie une analyse sur la situation européenne : « Menaces convergentes
contre la protection des données personnelles en Europe ».
07-03-01 : IRIS publie une contribution à la consultation de la CE sur sa Communication du
26-01-01. Les différentes contributions sont discutées au cours d'une audition publique le
07-03-01.
26-01-01 : la CE adopte une Communication visant à
« Créer une société de l'information plus sûre
en renforçant la sécurité des infrastructures de l'information et
en luttant contre la cybercriminalité » (COM(2000)890). Son article 5.2 porte sur la rétention des données.
(Retour à la chronologie)
29-07-02 : Lettre de la CE à IRIS
La plainte d'IRIS mise en attente de parution du décret
Commission européenne
DG Marché intérieur
Directeur général
Bruxelles le 29.07.02 - 4576
MARKT/A4/MHB/aj D(2002)276
Association IRIS
Madame Meryem MARZOUKI
294, rue de Charenton
F-75012 PARIS
Madame,
Suite au dépôt de votre plainte en date du 21 septembre 2001, mes services ont procédé à l'examen de la loi
française n°2001-1062 sur la sécurité quotidienne, en particulier son article 29.
La mise en oeuvre de ce texte étant liée à l'adoption d'un décret en Conseil d'Etat déterminant les catégories de
données visées, la durée de leur conservation ainsi que les modalités de compensation des coûts, il est difficile
de se prononcer sur la compatibilité de l'article 29 de la loi n°2001-1062 avec le droit communautaire en l'absence
d'un tel décret d'application.
Pour ce qui a trait plus spécifiquement à vos demandes formulées par e-mail, il va de soi que la Commission tiendra
compte des évolutions du droit communautaire liées à l'objet de votre plainte. Ceci ne nécessite pas que vous
reformuliez votre plainte puisque la situation en droit français ne s'est pas modifiée. Par ailleurs, comme vous
l'avez fait jusqu'à présent, je vous saurais gré de me communiquer les informations dont vous disposeriez sur tout
changement du droit français directement lié à l'objet de votre plainte dont vous auriez connaissance et en
particulier l'adoption du décret en Conseil d'Etat visé à l'article 29 de la loi n°2001-1062.
John F. Mogg
(Retour à la chronologie)
16-07-02 : Courrier électronique d'IRIS à la CE
Deuxième complément d'information fourni à la CE au sujet de la LOPSI
From: Meryem Marzouki
Sent: jeudi 27 juin 2002 13:53
To: MH Boulanger
Cc: EV Salger-Kuhn, Denis Batta
Subject: Plainte numero 2002/4002, SG(2002) A/120
Bonsoir,
Je reviens à vous pour vous signaler de nouveaux développements législatifs en France.
Vous trouverez ci-dessous un communiqué de presse de l'association IRIS à ce sujet, suivi d'une analyse plus
approfondie. Nous espérons vraiment avoir des nouvelles de notre plainte numero 2002/4002, SG(2002) A/120. Cette
plainte contre la France concerne l'Article 29 de la Loi N°2001-1062 du 15 novembre 2001 (loi
relative à la sécurité quotidienne). Cet article 29 est la base de la nouvelle mesure signalée dans le communiqué
de presse ci-dessous. Il nous apparait très clairement que la situation s'aggravera très vite avec l'accès direct
par la police française aux données conservées par les opérateurs de télécommunications et les fournisseurs d'accès
Internet.
Cordialement,
Meryem Marzouki, présidente d'IRIS
[Suit le Communiqué de presse d'IRIS du 16 juillet 2002 intitulé « LOPSI : une atteinte gravissime aux
droits et aux libertés », ainsi que l'analyse d'IRIS publiée le même jour : « Fichage, écoutes et interceptions : Raffarin rime
avec Jospin »]
(Retour à la chronologie)
27-06-02 : Courrier électronique d'IRIS à la CE
Complément d'information fourni à la CE au sujet des décrets
From: Meryem Marzouki
Sent: jeudi 27 juin 2002 13:53
To: MH Boulanger
Subject: Rép: FW: Plainte numero 2002/4002, SG(2002) A/120
Madame,
Je vous remercie de votre prompte réponse et reste en attente de commentaires plus détaillés. [...]
Il est exact que les décrets relatifs à l'article 29 de la loi du 15 novembre 2001 n'ont pas encore été publiés à
ce jour. Toutefois, j'ajoute pour votre information que la Direction française du Développement des Médias (DDM,
services du Premier ministre) annonce sur son site web l'information reproduite ci-dessous au sujet du décret
relatif à la loi du 30 septembre 1986 relative à la liberté de communication, modifiée par la loi du 1er août 2000.
Dans cette dernière loi ont été introduits et adoptés des amendements (dits "amendements Bloche") relatifs aux
données d'identification des producteurs de contenus de sites web, ces données devant être conservées par les
prestataires techniques d'accès et d'hébergement. Ce décret est indiqué comme étant en voie d'adoption, mais les
avis de la CNIL et du Conseil d'Etat n'ont pas été rendus publics. Seuls les prestataires techniques ont été
consultés pour la rédaction de ce décret, à l'exclusion des associations d'utilisateurs et de défense des libertés
(l'association IRIS a protesté contre cette situation, dans un communiqué de presse :
http://www.iris.sgdg.org/info-debat/comm-decret0602.html).
Il apparaît dans le texte de la DDM, reproduit ci-dessous, que ce décret est élaboré aussi compte tenu des décrets
relatifs à la loi du 15 novembre 2001, restant à paraître.
"Conservation des données de connexion (art. 43-9)
L'article 43-9 de la loi du 30 septembre 1986 dispose que les fournisseurs d'accès et les hébergeurs "sont tenus de
détenir et de conserver les données de nature à permettre l'identification de toute personne ayant contribué à la
création d'un contenu des services dont elles sont prestataires." Il est en outre précisé que les "autorités
judiciaires peuvent requérir communication de ces données auprès des prestataires visés." Cet article mentionne en
son dernier alinéa qu'un décret en Conseil d'État, pris après avis de la CNIL, définit les données mentionnées et
détermine la durée et les modalités de leur conservation.
Dans le cadre de la préparation de ce décret, la DDM a organisé une consultation des représentants des hébergeurs
et fournisseurs d'accès et engagé une concertation avec le ministère de la justice et le secrétariat d'État à
l'industrie, chargés d'élaborer les décrets d'application de la loi relative à la sécurité quotidienne sur la
conservation des données de connexion."
(http://www.ddm.gouv.fr/dossiers_thematiques/documents/decretsl010800.html)
[Note d'IRIS : cette page du site de la DDM n'existe plus]
Votre remarque concernant la publication encore en attente du décret relatif à l'article 29 de la loi du 15
novembre 2001 signifie-t-elle que la Commission ne pourra rendre sa décision avant la publication de ce décret ?
En vous remerciant encore de vos réponses,
Meilleures salutations,
Meryem Marzouki.
(Retour à la chronologie)
27-06-02 : Courrier électronique de la CE à IRIS
En réponse à la demande d'information d'IRIS
From: MH Boulanger
Sent: jeudi 27 juin 2002 11:44
To: Meryem Marzouki
Subject: FW: Plainte numero 2002/4002, SG(2002) A/120
Madame,
Votre plainte fait l'objet d'un examen et a déjà fait l'objet de discussions
entre les services concernés de la Commission. Nous vous transmettons une
réponse dans les meilleurs délais en ce compris en ce qui concerne la
question de l'impact de la révision de la directive 97/66/CE.
Par ailleurs, à notre connaissance, aucun décret exécutant l'article 29 de
la loi du 15 novembre 2001 n'a été adopté à ce jour.
N'hésitez pas à me contacter si vous souhaitez des informations
complémentaires.
MH Boulanger
DG MARKT
(Retour à la chronologie)
17-06-02 : Courrier électronique d'IRIS à la CE
Demande d'information sur le statut de la plainte, et sur les conséquences de la révision de la Directive
européenne sur la protection des données personnelles dans les communications électroniques
From: Meryem Marzouki
Sent: lundi 17 juin 2002 16:31
To: BATTA Denis (SG)
Subject: Plainte numero 2002/4002, SG(2002) A/120
Monsieur,
Le 21 décembre 2001, j'ai déposé auprès de vos services, en ma qualité
de présidente de l'association française IRIS (Imaginons un réseau
Internet solidaire), une plainte contre la République française pour
infraction à la législation européenne. Cette plainte concerne
précisément l'Article 29 de la Loi N°2001-1062 du 15 novembre 2001 (loi
relative à la sécurité quotidienne). La plainte faisait le choix d'un
traitement non confidentiel.
Par courrier daté du 15 janvier 2002, vos services ont accusé réception
de cette plainte, enregistrée sous le numéro 2002/4002, SG(2002) A/120.
N'ayant à ce jour reçu aucune information en provenance de vos services,
je prends contact avec vous pour m'enquérir de l'avancement du processus
d'examen de ma plainte, et de la nécessité éventuelle de vous fournir
des informations complémentaires.
Par ailleurs, l'une des dispositions communautaires que la plainte
considère comme enfreintes par l'Article 29 de la Loi N°2001-1062 du 15
novembre 2001 est la Directive 97/66/CE du Parlement européen et du
Conseil concernant le traitement des données à caractère personnel et la
protection de la vie privée dans le secteur des télécommunications.
Or cette Directive est en cours de révision sur la base de la
proposition de Directive du Parlement européen et du Conseil concernant
le traitement des données à caractère personnel et la protection de la
vie privée dans le secteur des communications électroniques
(COMM(2000)385), la procédure de codécision étant bien avancée puisque
le vote du Parlement en seconde lecture a eu lieu le 30 mai 2002.
Dans cette situation particulière, je voudrais également m'enquérir
auprès de vos services des conséquences possibles d'une éventuelle
entrée en vigueur de cette nouvelle Directive avant que l'instruction de
ma plainte soit achevée : faudra-t-il reformuler cette plainte en la
mettant à jour vis-à-vis de la nouvelle Directive ? Ou bien pourra-t-on
considérer que seul l'état de la législation européenne à la date de
dépôt de la plainte importe ?
En vous remerciant par avance de vos réponses, je reste à votre
disposition pour tout complément d'information et vous prie de croire,
Monsieur, en ma parfaite considération.
Meryem Marzouki,
Présidente d'IRIS.
(Retour à la chronologie)
23-01-02 : Communiqué de presse d'IRIS
LSQ : IRIS porte plainte contre la France
L'association IRIS (Imaginons un réseau Internet solidaire) a déposé
plainte contre la France auprès de la Commission européenne, pour non
respect du droit communautaire.
Cette plainte concerne la loi n°2001-1062 du 15 novembre 2001 sur la
sécurité quotidienne (LSQ), visant particulièrement son article 29
(conservation des données techniques relatives à une communication,
pendant une période pouvant s'étendre jusqu'à un an). Déposée par IRIS
le 21 décembre 2001, la plainte a été jugée recevable par la
Commission européenne en janvier 2002. Elle est actuellement examinée
par la Commission, qui jugera de l'opportunité de saisir ultérieurement
la Cour de justice des Communautés européennes.
L'association rappelle que la France a déjà été condamnée à deux
reprises par la Cour de justice des Communautés européennes, sur plainte
de la Commission, pour manquement à son obligation de transposition des
Directives 95/46/CE (arrêt du 14 février 2001) et 97/66/CE (arrêt du 18
janvier 2001). Aujourd'hui, la France manque une fois de plus à ses
obligations en adoptant une mesure législative contraire à des
dispositions contenues dans ces deux Directives, ainsi qu'à des
principes du droit communautaire.
La LSQ, dont la constitutionnalité demeure fortement douteuse, n'a pu
être adoptée puis promulguée que par la connivence entre des
représentants politiques de la majorité et de l'opposition, jusqu'aux
plus hauts niveaux de l'État français. En portant sur le terrain du
droit communautaire son combat mené au niveau national contre cette loi,
IRIS entend utiliser l'ensemble des moyens démocratiques pour continuer
de défendre les libertés et les droits fondamentaux contre les dérives
sécuritaires.
[Adresse de ce communiqué : http://www.iris.sgdg.org/info-debat/comm-lsq-plainte0102.html]
(Retour à la chronologie)
15-01-02 : Lettre de la CE à IRIS
la plainte d'IRIS est jugée recevable
Commission européenne
DG Marché intérieur
Directeur général
Bruxelles le 15.01.02
SG(2002) D/103
Association IRIS
Madame Meryem MARZOUKI
294, rue de Charenton
F-75012 PARIS
Madame,
J'ai l'honneur d'accuser réception de votre lettre du 21 décembre 2001 et de vous informer qu'elle a été
enregistrée comme plainte sous le nuémro 2002/4002, SG(2002) A/120 (références à rappeler dans toute correspondance
ultérieure). J'attire votre attention sur le fait que l'attribution de ce numéro n'implique pas nécessairement
qu'une procédure d'infraction soit engagée par la Commission.
Votre plainte va être examinée par le service de la Commission en charge du domaine du droit communautaire soulevé.
Ce service vous informera directement des résultats de l'examen et du déroulement de l'éventuelle procédure
d'infraction. Entre-temps, il vous est loisible de prendre contact avec le Greffe du Secrétariat général, unité
SG-A-2 chargée de la coordination des travaux en matière d'application du droit communautaire, qui fera suivre
votre courrier [coordonnées].
Vous pouvez choisir entre un traitement confidentiel et un traitement non confidentiel de votre plainte. Le
traitement non confidentiel signifie que vous autorisez les services de la Commission à mentionner votre identité
lors de leurs éventuelles interventions auprès des autorités de l'État membre contre lequel votre plainte est
dirigée.
[Suivent diverses informations générales]
Pour le Secrétaire général,
Françoise Brunet
